Budsjettkutt hos CISA kan påvirke virksomhetens cybersikkerhet

Budsjettkutt hos CISA kan påvirke virksomhetens cybersikkerhet

Tidsstempel: 30. oktober 2023 3
Budsjettkutt hos CISA kan påvirke Enterprise Cybersecurity PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

US Cybersecurity and Infrastructure Security Agencys innsats for å bekjempe desinformasjon om amerikanske valg og valginfrastruktur – en liten del av dets overordnede oppdrag – kan føre til budsjettkutt som påvirker CISAs to hovedansvar: forsvare føderale nettverk og hjelpe kritiske infrastrukturoperatører mot nettangripere.

Forrige måned, halvparten av husrepublikanerne stemte for en endring for å kutte finansieringen til CISA med 25 %. I det amerikanske senatet har senator Rand Paul (R-KY) blokkert cybersikkerhetslovgivning minst 11 ganger over bekymring for at CISA og dets forelder, US Department of Homeland Security (DHS), sensurerer ytringsfriheten.

Disse lovgivningsinnsatsene hindrer allerede CISA i å ta vare på dets ansvar, og eventuelle dype kutt kan forstyrre dens hardt vunnede fremgang, sier Josh Corman, tidligere sjefstrateg for COVID Task Force ved CISA.

"Jeg tror kutt ville være ganske katastrofale," sier Corman. "Vi ser økende angrepstetthet på tvers av de 16 sektorene med kritisk infrastruktur. De burde øke budsjettet for å håndtere disse angrepene, ikke kutte ned.»

Blant sin innsats har CISA begynt på omfattende oppsøking til privat industri, programvareprodusenter og cybersikkerhetsfirmaer. Byrået gir ut dusinvis av råd og veiledningsdokumenter hver måned, som f.eks en advarsel i september som dekker Snatch ransomware-as-a-service-operasjonen, og opprettholder en liste over kjente utnyttede sårbarheter som har blitt en velsignelse for patchprioritering. CISA har også tatt en viktig rolle i å samarbeide med programvareindustrien og åpen kildekode-miljøer forbedre sikkerheten til åpen kildekode-programvare, Selv frigjør sine egne verktøy for cyberforsvarere. Endelig har byrået forpliktet til å hjelpe "målrette mot rike, cyberfattige" organisasjoner, Eksempel små og mellomstore bedrifter og statlige og lokale myndigheter.

Eventuelle finansieringskutt vil snu en historie med tverrpolitiske budsjettøkninger for CISA i løpet av de fem årene den har eksistert. For det siste regnskapsåret vedtok kongressen et budsjett på 2.9 milliarder dollar for 2023, opp fra 2 milliarder dollar i 2020. Biden-administrasjonen ba om 3.1 milliarder dollar for byrået for 2024, og allokerte omtrent 58 % av midlene til Cybersecurity Division, omtrent 25 % til oppdragsstøtte og grunnleggende tjenester, 8 % for integrering av operasjoner med statlige, lokale og stammepartnere, og 6 % for infrastruktursikkerhet, ifølge skriftlig vitnesbyrd av CISA-direktør Jen Easterly til Husets bevilgningskomité.

Totalt sett har CISA vært ganske vellykket med å få programmer i gang og med å bli en sentral ressurs for den føderale regjeringen og kritiske infrastruktursektorer, sier Benjamin Jensen, seniorstipendiat i Future War, Gaming, and Strategy-gruppen ved Center for Strategic og internasjonale studier (CSIS).

"Ikke undervurder selv bare den byråkratiske innsatsen for å sette opp organisasjonen og justere finansieringen for å bygge arbeidsstyrken for å ... skalere opp antallet krisereaksjoner, kritisk infrastruktur og angrepsspill de kjører," sier han. "Den tverretatlige koordineringen har vært en monumental utfordring."

Kritisk infrastruktur trenger CISA

Siden opprettelsen i 2018, CISA har måttet kjempe mot både forankrede byråkratiske kulturer og et stramt cybersikkerhetsarbeidsmarked - styrker som har hindret dens innsats for å bli et sentralt oppbevaringssted for cybersikkerhetskunnskap og en sentral tjenesteleverandør for både den føderale regjeringen og kritiske infrastrukturoperatører. I 2022, konkluderte Government Accountability Office (GAO). at byrået hadde gitt fordeler til sine interessenter, men trengte å jobbe mer for å forbedre innsatsen for beskyttelse av kritisk infrastruktur og cybersikkerhetstjenester.

Hvor mye budsjettkutt som vil hemme byråets vellykkede innsats med cybersikkerhetsrådgivning, sårbarhetshåndtering og åpen kildekode-programvaresikkerhet er fortsatt usikkert, men mangel på midler vil helt sikkert bremse byrået i driften av programmene. Det er naturlig at sikkerhetsteam som bruker katalogen Known Exploited Vulnerabilities (KEV) som en del av sårbarhetsstyringsprogrammene deres eller som stoler på open source-verktøyene for bedriftsforsvar, potensielt kan bli påvirket hvis CISAs arbeid ble begrenset.

"Når vår nasjon fortsetter å møte komplekse og presserende cybertrusler, vil finansiering på nivåer under beløpene som administrasjonen har bedt om, sette sikkerheten og sikkerheten til den kritiske infrastrukturen amerikanere er avhengige av hver dag i alvorlig fare," sier CISA-talsperson Avery Mulligan. «CISAs ekspertise, kombinert med våre partnerskap med statlige, lokale, stamme- og territorielle myndigheter, så vel som privat sektor, har i stor grad forbedret nasjonens cybersikkerhetsstilling. Nå er rett og slett ikke tiden for å redusere vår evne til å utføre dette kritiske oppdraget.»

Akkurat nå er CISAs fremgang blant føderale byråer og kritiske infrastruktursektorer betydelig, men ujevn. Noen sektorer, som Department of Health and Human Services og helsevesenet, er "en ubegrenset katastrofe," sier strateg Corman. Miljøsektoren og mat- og landbrukssektorene hadde minimale cybersikkerhetsressurser, sier han.

"Med 700 løsepenger per år for sykehus, er CISA nødt til å gå opp for å hjelpe til med å beskytte dem," sier Corman. «Et kutt på 25 % vil bare binde [Amerikas] hender ytterligere bak ryggen vår. Hvis vi trenger mer handling på de utpekte kritiske infrastruktursektorene - og det gjør vi - vil vi ikke være klare."

Debatterer CISAs fremtid

Til tross for behovet for at CISA skal fortsette å styrke amerikansk cybersikkerhet, møter byrået økende motstand fra noen medlemmer av kongressen, sint over CISAs uttalelser validering av integriteten til valget i 2020 og av byråets innsats for å bekjempe valgdesinformasjon.

«CISAs involvering i politiarbeid påstått feil- og desinformasjon, så vel som feilinformasjon – sannferdig informasjon uten 'tilstrekkelig' kontekst – er en direkte og alvorlig trussel mot prinsippene for First Amendment.» opplyser en rapport utgitt av Select Subcommittee on the Weaponization of the Federal Government, en gruppe opprettet av republikanske representanter i januar.

CISA fikk autoritet for valgsikkerhet som en del av sine kritiske infrastrukturoppgaver, et ansvar arvet fra forgjengeren, National Protection and Programs Directorate, etter Russiske angrep på valget i 2016. Imidlertid er politiets falske uttalelser om valg uten tvil ikke blant deres ansvar, spesielt hvis det truer byråets operasjonelle oppdrag på grunn av den hyperpartiske naturen til dagens politikk, sier Corman.

"CISA uttrykte overdrevent en av jobbene sine - spesielt valgsikkerhet - og underuttrykte sitt fokus på kritisk infrastruktur, sier han. "Feilinformasjon virker ganske langt unna kritisk infrastruktur, og når det kommer til idéinnhold, hold deg unna det."

Finansiering er en del av et større problem

Å opprettholde et tilstrekkelig budsjett er ikke det eneste hinderet i horisonten for CISA. En stor utfordring er fortsatt å ansette og beholde cybersikkerhetseksperter. I august 2022, de siste tilgjengelige dataene, var CISAs Cybersecurity Division underbemannet med 38 %, et større gap enn underskuddet på 33 % et år tidligere, ifølge en 2023. mars rapport av kontoret til generalinspektøren ved DHS.

Finansiering vil være avgjørende for å løse det problemet og fylle den rørledningen, sier CSISs Jensen.

"De har lappet flommen av cyberangrep, men de må nå begynne å forutse hvor de neste vil være ved å bruke det integrerte datamiljøet, gjennom det felles samarbeidsmiljøet, og deretter matche dem med en cyberarbeidsstyrke som faktisk kan komme seg ut i foran problemer, sier han. "Så flere brannvakter, færre brannmenn."

Tidstempel:

Mer fra Mørk lesning